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(g) Proc6d6 de signature numerique et d'authentification de messages utilisant un logarithme dlscret 
avec un nombre reduit de multiplications modulaires. 



(57) Selon I'invention, on reduit le nombre de 
multiplications modulaires a effectuer. Dans 
une variante, ces multiplications modulaires 
sont meme supprimees et Tentite qui signe 
utilise des nombres precalcules. 
Application en telecommunications. 
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1 EP 0 666 

Domain technique 

La presente invention a pour objet un proced6 de 
signature numerique et d'authentif ication de messa- 
ges utilisantun logarithme discret. Elletrouv uneap- 5 
plication dans la cryptographie dite a cl6 publique. 

L'invention concerne plus particulierement le do- 
maine des precedes dit "sans transfert de connais- 
sance" (ou "zero-knowledge 0 ). Dans de tels proce- 
des, i'authentif ication se deroule suivant un protocole 10 
qui, de facon prouvee, et sous des hypotheses recon- 
nues comme parfaitement raisonnables par la 
communaute scientifique, ne r6vele rien de la cle se- 
crete de l'entite dont la signature est a authentif ier. 

15 

Etat de la technique antfrieure 

Dans certaines techniques anterieures de signa- 
ture numerique de messages, I'entite devant emettre 
un message signe est detentrice d'une cl6 dont un 20 
element, appele module, est public et un autre ele- 
ment est secret. Pour signer un message, cette entite 
ajoute au message une redondance en utilisant sa cle 
secrete. Le message emis est done une fonction du 
message et de la cle secrete. 25 

Pour verifier la signature, le destinataire du mes- 
sage utilise la partie publique de ia cle et effectue un 
calcul qui doit redonner le message initial avec sa re- 
dondance. En retrouvant la redondance, le destina- 
taire conclut que le message qu'il a recu n'a pu itre 30 
transmis que par I'entite qui pretend I'avoir envoye, 
puisqu'elle seule etait capable de traiter le message 
de cette maniere. 

Dans de telles procedures, la securite est fondee 
sur I'extrSme difficult^ qu'il y a a inverser certaines 35 
fonctions. Dans le cas de l'invention qui va etre de- 
crite, la securit6 du proced6 de signature est fondee 
sur I' extreme difficult^ du probleme du logarithme 
discret. Ce probleme consiste, etant donne la relation 
mathematique : y=g x modulo n (qui signifie : y est le 40 
reste de la division de g x par n), a retrouver x lorsque 
Ton connalt n, g et y. Ce probleme est impossible a 
resoudre, en I'etat actuel des connaissances, des que 
la taille n atteint ou depasse 500 bits et que celle de 
x atteint ou depasse 128 bits. 45 

Dans les systemes mettant en oeuvre de tels pro- 
cedes, il existe en general une autorite, en laquelle un 
ensemble d'utilisateurs a conf iance, qui determine un 
nombre n de grande taille (au moins 500 bits), cons- 
tituent le module. L'invention s'applique des lors que 50 
le nombre n est choisi de telle sorte que le probleme 
du logarithme discret soit impossible a resoudre en 
pratique. Pourcela, il existe essentiellementdeux op- 
tions : 

- ou I module n st calcule d tell sorte qu'il 55 
soit impossible, en pratiqu , (c* st-a-dire 
compte tenu des algorithmes de factorisation 
existants), de retrouver les facteurs premiers 
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dont il est le produit ; dans un utilisation clas- 
sique de cett option, n est I produit de deux 
grands facteurs premiers distincts ; 
- ou ce module est un nombre pr mier verif iant 
certaines pro prietes que Ton p uttrouv rdans 
la litterature specialisee ; dans une utilisation 
classique de cette option, n-1 est le double 
d'un nombre premier. 
L'autorite choisitensuite un entierg, appele base, 
tel que Pensemble engendr6 par g, e'est-a-dire I'en- 
semble constitue des nombres g x modulo n, lorsque 
x parcourt I'intervalle [0, n-1], soit un sous-ensemble 
de taille maximale (ou, en tout cas, de taille suff isam- 
ment grande (au moins 2 128 )), de cet intervalle. Atitre 
d'exempie, la taille maximale est n-1 lorsque n est 
premier, proche de n/2 lorsque n est le produit de deux 
facteurs premiers distincts. 

Les nombres n et g sont publies par l'autorite et 
doivent £tre connus de tous les utilisateurs qui y sont 
rattaches. Dans une variante, ces parametres sont 
choisis individuellement parchaque utilisateuretfont 
done partie integrante de sa cle publique. 

Dans un tel contexte, on connalt un procede de 
signature de messages qui comprend essentielle- 
ment les operations suivantes. Dans ce procede, n 
est un nombre premier et q est un nombre premier di- 
visant n-1 . La c!6 privee x est choisie au hasard entre 
1 et q et la cle publique y est prise egale a y=g~ x mo- 
dulo n. L'entite qui desire emettre et signer un mes- 
sage M choisit au hasard un entier positif k et calcule 
r=g k modulo n. Cette entit6 calcule ensuite une fonc- 
tion de hachage (ou de condensation) c=h(r, M), la 
fonction de hachage etant connue de tous. L'entite 
calcule ensuite une somme s=k+cx modulo n et elle 
transmet cette somme a une entite authentif icatrice 
ainsi que la fonction c. Cette entite calcule, a I'aide de 
la cle publique et de la base g, le produit modulo n de 
g 3 .^ soit r et v6rif ie que la fonction de hachage h(r, 
M) redonne bien la fonction de hachage c qu'elie a re- 
cue. 

Un tel procedS est d6crit dans I'article de CP. 
SCHNORR intitule "Efficient Signature Generation 
by Smard Cards", publie dans J. Cryptology (1 991) 4 : 
161-174, pp. 161-174. 

Le brevet americain US-A-4,995,082 delivre a 
CP. SCHNORR decrit 6galement un proced6 analo- 
gue avec des algorithmes encore plus complexes ou 
la somme s n'est plus seulement la somme de deux 
termes modulo q mais une somme double, toujours 
modulo un certain entier, en I'occurrence p-1. 

Si ce procede donne satisfaction^ a certains 
6gards, il presente neanmoins I'inconvenient de ne- 
cessiter des operations qui sont des multiplications 
modulaires. Ces operations apparaissent dans I cal- 
cul d g k modulo p et dans la somme k+cx modulo q 
(ou les doubles sommes modulo p-1). 

Or, cett operation de multiplication modulaire 
est complexe et n6c ssite des moyens importants. 
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Dans des dispositifs simples n'utilisant que des mi- 
croprocesseurs standards, c tte operation n' st gue- 
re possible. De meme, dans des ordinateurs ou les 
fonctions cryptographiques sont realise s a I'aide 
d'un logici I, I calcul d'une multiplication modulaire 5 
n'est jamais tres performant. 

La reduction du nombre de tels calculs est done 
souhaitable. C'est precisement le but de la presente 
invention. 

10 

Expos6 de I'invention 

A cette fin, la presente invention prevoit un pro- 
cede de signature de messages, du genre de celui qui 
vient d'etre decrit, mais qui reduit, voire supprime, les 1 5 
multiplications modulaires. 

La reduction est obtenue en faisant calculer a 
I'entite emettrice une somme simple, soit s=k+cx, de 
rentier k choisit au hasard et du produit de la fonction 
de hachage c et de la cle secrete x, et non plus une 20 
somme modulo un entier, comme dans I'artanterieur. 
Cette multiplication modulaire est done supprimee. 

Dans un mode de mise en oeuvre encore plus 
simple, les nombres r de la forme g k modulo n, dont 
le calcul met en oeuvre des multiplications modulai- 25 
res, sont precalcules et memorises dans I'entite si- 
gnature, ce qui dispense celle-ci d'avoir a les calcu- 
ler. II ne reste plus alors aucune multiplication modu- 
laire a effectuer dans I'entite emettrice. 

De facon precise, la presente invention a pour ob- 30 
jet un procede de signature numerique de message, 
dans lequel une autorite choisit un nombre n, appele 
module, un entier g appele base, trois parametres t, 
u, v appeles parametres de securite, cette autorite 
pubiiant le module n, la base g et les trois parametres 35 
de securite t, u, v aupres de diverses entites utilisa- 
trices ; ce procede comprenant, pour une entite Ade- 
sirant emettre un message M et le signer numerique- 
ment, et pour une entite B desirant verifier la signa- 
ture du message M, les operations suivantes : 40 

a) I'entite A choisit au hasard une cle secrete x 
egale a un entier positif ou nul strictement infe- 
rieur au parametre t et determine sa cle publique 
en elevant g a une certain e puissance de x mo- 
dulo n et cette cle publique et certif iee par I'au- 45 
torite, 

b) I'entite A choisit ensuite, au hasard, un entier 
positif ou nul k strictement inferieur au produit 
des trois parametres t, u, v et I'entite A garde ren- 
tier k secret, so 

c) i'entite A calcule ensuite, a I'aide de g et de k, 
un entier r tel que : 

r = g k modulo n, 

d) I'entite A calcule ensuite, par une fonction de 
hachage connue de toutes les entites utilisatri- 55 
ces, la fonction de hachage d I' ntier r prece- 
demment obtenu et du message a signer M, soit 
c=h(r, M), c etant un entier compris ntre 0 t v- 



1, 

) I' ntite A calcule, a parti r d sa cle secrete x, 
de rentier k et de la fonction de hachag c, un en- 
tier s def ini par : 

s = k + cx 

f) I'entite A transmet le message M, la fonction de 
hachage c et rentier s prec6demment obtenu a 
I'entite B, 

g) I'entite B verifie le certif icat de la cle publique 
de Aet calcule, a partirdu module n, de la cle pu- 
blique y de I'entite Aet de la fonction de hachage 
c recue de A, le produit modulo n, de y° par g 8 , 

soitr = y°g s modulo n 

h) I'entite B verifie alors que la fonction de hacha- 
ge du produit r qu'elle a obtenu et du message M 
qu'elle a recu, soit h(r, M), redonne bien la fonc- 
tion de hachage c recue de A, auquel cas 
I'authentification de la signature du message 
emis par A est reussie. 

Dans une variante, r est rem place par un conden- 
se de r, par exemple h(r) ou les 1 28 bits de poids faible 
(ou poids fort) de r. 

De preference, I'entite A possede un ensemble 
predetermine de valeurs k1 ki, km et un en- 
semble correspondant d'entiers r1, ri, .... rm lies 
aux ki par ri=g ki modulo n. Dans ce cas, I'entite A, pour 
determiner ledit entier r, choisit un nombre ki dans 
I'ensemble des ki et lit rentier correspondant ri=g ki 
modulo n. 

De preference encore, I'autorite et I'entite A pos- 
sedent deux generateurs pseudo-aleatoires identi- 
ques aptes a delivrer tous deux la meme suite pseu- 
do-aleatoire d'entiers k1 ki, km a partir d'une 

valeur d'initialisation kO applique au generateur. Cet- 
te valeurd' initialisation kOest 6changee entre I'entite 
Aet I'autorite de maniere s6curis§e. L'autorite calcule 
alors la sequence d'entiers ri=g kl modulo n correspon- 
dant a la sequence k1 , ki, km Nee a ['initialisa- 
tion kO, transmet la sequence des entiers r1 ri 

rm a I'entite A qui les memorise. L'entite A devant 

emettre et signer des messages M1 Mi Mm, 

met en route son generateur pseudo-aleatoire a partir 
de la meme valeur d'initialisation kO, et, pour chaque 
message Mi a signer, lit la valeur ki delivree par son 
generateur pseudo-aleatoire, lit rentier ri correspon- 
dant et signe le message Mi a I'aide de rentier ri. 

La presente invention a egalement pour objet un 
procede d'authentif ication de message qui peut etre 
considere comme une variante du procede de signa- 
ture. 

Expos6 d6taille de modes de realisation 

Le procede de I'invention est precede d'une pha- 
se de pretraitement, dans laquelle I'autorite choisit un 
module n d grande taille, e'est-a-dire d'au moins 500 
bits et une base g. L'autorite determine egalem nt la 
valeur des trois parametres de securite, t, u et v. II est 
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recommande que la longueur de t soit d'au moins 1 28 
bits, celle de u d'au moins 64 bits et celie de v d'au 
moins 128 bits. 

L'entite utilisatrice, que Ton designera par A, 
choisit au hasard une cle secret x, qui st un entier 5 
positif ou nul strictement inferieur au parametre t 
L'entite A calcule sa cle pubiique en elevant g a une 
certaine puissance de x modulo n, par exemple 
y=g x modulo n ou y=g x modulo n ou par d'autres 
equations proches de celle-ci. L'inverse se calcule a 10 
I'aide de Talgorithme d'EUCLIDE de calcul du plus 
grand commun diviseur. 

La cle pubiique y (ou n, g et y) est ensuite certi- 
f iee par I'autorite, selon un mecanisme de certifica- 
tion quelconque. Si ce mecanisme repose sur un pro- 15 
cede de signature numerique tel que celui qui va etre 
decrit, I'autorite calcule un certif icat, c'est-a-dire une 
signature numerique d'un ensemble de parametres 
contenant au minimum la cle pubiique y (ou n, g et y) 
et une chatne I qui rassemble des caracteristiques 20 
discriminantes de I'utilisateur associe. Par exemple, 
I peut §tre la concatenation, selon un format a def inir 
avec precision, de I'identite de I'utilisateur, de son 
adresse, de son age, etc. ainsi que, par exemple, de 
ses droits a effectuer telle ou telle action. 25 

Tous les utilisateurs devront connaitre la cle pu- 
biique de I'autorite, af in de pouvoir verifier les certi- 
f icats qu'elle emet, et connaitre ainsi avec certitude 
la cle pubiique correspondant a I'utilisateur dont le 
champ d'identif icat ion est I. Ce type de procedure fait 30 
partie de I'etat de la technique en matiere de crypto- 
graphic. 

Cette phase preliminaire 6tant achevee, le prece- 
de de signature de invention comprend certaines 
operations qui vont etre ddcrites maintenant La cle 35 
pubiique de A est supposee connue de B, ce qui peut 
resulter d'un echange prealable non explicite ici, qui 
pourrait d'ailleurs etre integre dans le protocole de si- 
gnature. 

1) L'entite A choisit au hasard un entier k positif 40 
ou nul strictement inferieur au produit t.u.v=2 400 

et garde secret cet entier k. Elle calcule ensuite 
rentier r=g k modulo n. 

2) L'entite A calcule ensuite c=h(r, M) ou h est une 
fonction de hachage. 45 

3) L'entite A calcule alors rentier s=k+cs. 

4) L'entite A envoie (M, c, s) a l'entite B. 

5) L'entite B calcule le produit, modulo n, de y° par 
9 s : 

r = y°g s modulo n 50 
et verif ie que 

h(r, M) = c 

Si la verification estfaite, I'authentif ication de la 
signature M est reussi . 

On remarquera que la signature du message a, 55 
pour les valeurs de parametr s pris s en xemple, 
une longueur d 560 bits. Avec des valeurs un peu in- 
ferieures, mais n compromettant pas la securite du 



precede, on pourrait obtenir une longueur d'environ 
450 bits. 

Dans un mod de realisation particuli r qui va 
maintenant etre decrit, l'entite A n'aura qu'une seul 
operation a effectuer : celle d I'etape 3. Aucune ope- 
ration modulaire ne sera done a mettre en oeuvre. 

A cette fin, l'entite A peut etre equipee d'une table 
(ou memoire) ou les entiers r=g k sont memorises a 
I'adresse k. II suffit alors a l'entite A de venir lire le 
nombre r correspondant au nombre k choisi. 

En contrepartie, ce dispositif ne peut effectuer 
qu'un nombre limite de signatures. Cependant, lors- 
que ce nombre estatteint, on peut, par une procedure 
de rechargement (eventuellement a distance), mettre 
a nouveau a la disposition de A un nouveau jeu d'en- 
tiers r. 

Dans un mode particulier de realisation, les non> 
bres k utilises pour les signatures successives sont 
engendres parun generateur pseudo-aleatoire parta- 
ge par I'utilisateur et I'autorite. La valeur initiate de ce 
generateur doit etre trans mise par I'autorite a I'utilisa- 
teur (ou le contraire) defagon securisee. Cette secu- 
rite peut §tre obtenue en effectuant cette transmis- 
sion localement, ou en effectuant cette transmission 
a distance a I'aide d'un precede cryptograph ique (par 
exemple un precede de chiff rement) independant du 
precede actuellement decrit. 

Soit kO cette valeur initiale. Soient k1, .... ki 

km les valeurs engendrees par le generateur pseudo- 
aleatoire, I'indice i etant I'indice courant allant de 1 a 
m. L'autorite calcule les valeurs r1, ri, rm 
correspondantes (par la formule de I'etape 1) et les 
transmet a I'utilisateur (sans qu'il y ait besoin d'en as- 
surer la confidentiality). L'utilisateur les memorise. 
Avantageusement, I'autorite ne transmettra qu'un 

condense de chaque valeur M ri rm (par 

exemple les 160 derniers bits), et le calcul de I'etape 
2 ou 5 ne portera que sur ces valeurs tronquees. 

L'6tape 1 du precede de signature est alors mo- 
dif iee comme suit : 

1) L'entite A met en oeuvre son generateur pseu- 
do-aleatoire pourengendrer k, une valeur strictement 
inferieure au produit tuv=2 400 , et va chercher en me- 
moire la valeur de r (ou la valeur tronquee de r) 
correspondante que I'autorite lui avait prealablement 
transmise. 

Lorsque l'entite A a produit ses m signatures, elle 
redemande alors a I'autorite une nouvelle initialisa- 
tion k'O (transmis de facon sOre) et une nouvelle se- 
quence r'1 r'i, r'm. L'entite A peut signer a nou- 
veau m messages a I'aide des r'1 r'i r'm. 

A titre d'exemple, si chaque nombre ri fait 160 
bits, alors, une memoire de 2 kilooctets permet de 
produire environ 100 signatur s. 

La production de telles signatures est quasiment 
instantane , mdme avec un dispositif muni d r s- 
sourceslimitees comme une carte a microproc ss ur 
standard. 
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Deux variantes permettent de reduire la taill de 
la signature. 

Dans la premiere, apres avoir calcule s, l'entite A 
verifie qu c(t-1)^s^tuv-1. Si ce n'est pas le cas, A 
(etBdanslecasd Tauthentif ication de m ssage)re- 5 
commence le processus de signature (ou d'authenti- 
f ication de message) a I'etape b), c'est-a-dire : I'entite 
A choisit au hasard un entier k etc.... On est ainsi cer- 
tain que s ne revele aucune information sur le secret 
x. Ceci permet de reduire u autant qu'on le desire, 10 
mais au prix de reprises eventuelles. 

Dans la seconde variante, on remplace dans 
I'equation c=h(r,M), M parf(M) ou f est egalement une 
fonction de hachage. Dans le cas ou les etapes b) a 
e) sont executees par un dispositif securise, les qua- 15 
lites requises pour h sont moindres : il suffit que h soit 
a sens unique. Ceci permet de diviser environ par 
deux la longueur de v. 

Dans la description qui precede, ('accent a ete 
mis sur la signature de messages mais I'invention 20 
s'applique egalement a I'authentification de messa- 
ges qui en est une variante. La difference entre 
I'authentification de message et la signature numeri- 
que de message est que la premiere resulte d'un pro- 
cede interactif et ia seconde d'un procede non inte- 25 
ractif. Une consequence est que les donnees servant 
a authentifier un message venant d'une entite A au- 
pres d'une entite B ne peuvent pas etre utilisees ul- 
terieurement pour authentifier le mime message au- 
pres d'une troisieme entite C. Au contraire, une si- 30 
g nature numerique peut etre verifiee par n'importe 
quelle entite a n'importe quel moment. 

Dans la variante d'authentification, les opera- 
tions sont les suivantes : 

1) L'entite A choisit au hasard un entier positif ou 35 
nul k strictement inferieur au produit tuv=2 270 et 

elle garde k secret. Elle calcule ensuite rentier : 
r = g k (modulo n) 

puis 

r' = h(r,M) 40 

2) L'entite A envoie r' a I'entite B. 

3) L'entite B choisit au hasard un entier positif ou 
nul c strictement inferieur a v = 2 30 (c'est-a-dire 
inferieur a v-1). 

4) L'entite B envoie c a I'entite A. 45 

5) L'entite A calcule rentier : 

k = k + ex. 

6) L'entite A envoie (M,s) a l'entite B. 

7) L'entite B calcule le produit modulo n de y c par 

g 3 : so 

yeg 8 = r (modulo n) 
et verifie que 

h(r,M) = r\ 

Si la verification est satisfaite, I'authentification 
de l'entite A et du message M est reussie. 55 

Les dispositifs et moyens perm ttant de mettr 
n oeuvre le procede de signatur quivi ntd'etr de- 
crit sont classiques. On peut simplement souligner 



que les entites doivent : 

- 6tr rattachees a une autorite de tutelle, qui 
calcul les certif icats, produit les nombres n t 
g (a moins que chaque utilisateur ne les produi- 
se lui-mem ) et fix les valeurs d s parame- 
tres de securite ; 

- etre capables de detenir les cles secretes 
(pour l'entite a authentifier), ce qui suppose un 
moyen de stockage securise, de fagon a ce 
qu'une lecture non autorisee soit impossible en 
pratique ; 

- etre capables de detenir des cles publiques, ce 
qui suppose un moyen de stockage securise, 
de facon a ce qu'une modification non autori- 
see soit impossible en pratique ; 

- etre capables, dans la variante generate, d'ef- 
fectuer des multiplications modulo n, ce qui 
suppose (dans le cas d'une carte a micropro- 
cesseur), I'existence d'une unite de calcul spe- 
cialist ; etre capables, dans le mode de rea- 
lisation particulier, d'effectuer des operations 
arithmetiques usuelles, ce qui evite (dans le 
cas d'une carte a microprocesseur), ('existence 
d'une unite de calcul specialisee ; 

- etre capables de mettre en oeuvre un genera- 
tes aleatoire et/ou un generateur pseudo- 
aleatoire ; 

- etre capables de dialoguer, ce qui suppose 
('existence d'une interface de communication. 

Tous ces moyens sont connus de I'homme du me- 



Revendications 

1. Procede de signature numerique de message 
dans lequel une autorite choisit un nombre n, ap- 
pele module, un entier g, appele base, trois pa- 
rametres t, u, v, appeles parametres de securite, 
cette autorite publiant le module n, la base g et les 
trois parametres de securite t, u, v aupres de di- 
verses entites utilisatrices, ce procede compre- 
nant, pour une entite A desirant emettre un mes- 
sage M et le signer numeriquement, et pour une 
entite B desirant verifier la signature du message 
M, les operations suivantes : 

a) l'entite A choisit au hasard une cle secrete 
x egale a un entier positif ou nul strictement 
inferieur au parametre t et determine sa cle 
publique en elevant g a une certaine puissan- 
ce de x modulo n et cette cle publique est cer- 
tif iee par I'autorite, 

b) l'entite A choisit ensuite, au hasard, un en- 
tier positif ou nul k, strictement inferieur au 
produit d s trois parametres t, u, v t l'entite 
A garde I'enti r k secret, 

c) l'entite A calcul ensuit , a I'aide de g et k, 
un ntier r tel qu : 
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r = g k modulo n, 

d) I'entite A calcule nsuite, par une fonction 
de hachage connue de tout s I s entites uti- 
lisatrices, la fonction d hachag de rentier r 
precedemment obtenu et du message a si- 5 
gner M, soit c=h(r, M), c 6tant un entier 
compris entreOet v-1, 

e) I'entite A calcule, a partir de sa cle secrete 
x, de rentier k et de la fonction de hachage c, 

un entier s defini par: 10 
s = k + cx 

f) I'entite Atransmet a I'entite B le message M, 
la fonction de hachage c et rentier s prec6- 
demment obtenu, 

g) I'entite B verif ie le certif icat de la cle publi- 15 
que de Aet calcule, a partir du module n, de 

la cle publique y de I'entite A et de la fonction 
de hachage c recue de A, le produit, modulo 
n, de y° par g 9 , soit : 

r = y°g s modulo n 20 

h) I'entite B verif ie alors que la fonction de ha- 
chage du produit r et du message M regu, soit 
h(r, M), redonne bien la fonction de hachage 
c qu'eile a recue de A, auquel cas I'authenti- 

f ication de la signature du message emis par 25 
A est reussie. 

2. Precede de signature numerique de messages 
selon la revendication 1, caracteris6 par le fait 

que la cle publique y est egale a g x modulo n. 30 

3. Precede de signature numerique de messages 
selon la revendication 1, dans lequel I'entite A 
possede un ensemble predetermine de valeurs 

k1 ki km et un ensemble correspondant 35 

d'entiers r1, ri, rm lies aux ki par ri=g ki mo- 
dulo n, I'entite A, pour determiner ledit entier r, 
choisissant un nombre ki dans I'ensemble et li- 
sant I'entier ri correspondant. 

40 

4. Precede selon la revendication 3, caracterise par 
le fait que : 

- I'autorite et I'entite A possedent deux gene- 
rateurs pseudo-aleatoires identiques aptes 

a delivrer deux suites pseudo-aleatoires 45 

d'entiers k1, ki km identiques a partir 

d'une valeur d'initialisation kO du genera- 
tes, cette valeur d'initialisation kO etant 
echangee entre I'entite Aet I'autorite de ma- 
niere securisee, 50 

- I'autorite calcule la sequence d'entiers 
ri=g kl modulo n correspondant a la sequen- 
ce k1 ki km liee a ('initialisation kO, 

transmet la sequence des ntiers r1, .... 

ri, rm a I'entite A qui I s memorise, 55 

- I'entite Adevant em ttre tsign r des mes- 
sages M1, .... Mi, Mm m t en rout son 
generateur pseudo-aleatoire a I'aide de la 



val ur d'initialisation kO, et pour chaque 
m ssage Mi a signer lit la valeur ki delivree 
par le g6nerateur pseudo-aleatoire, lit ren- 
tier ricorr spondantetsign le message Mi 
a l'aid d I' ntier ri. 

5. Precede selon la revendication 4, dans lequel, 

apres avoir signe m messages M1 Mi Mm 

et 6puis6 ses m entiers r1 ri rm, I'entite A 

et I'autorite echangent de maniere securisee une 
nouvelie valeur d'initialisation k'O pour les deux 
generateurs pseudo-aleatoires, I'autorite trans- 
met a I'entite A une nouvelie sequence d'entiers 
r'1, .... r'i, .... r'm, que I'entite A utilise pour une 
nouvelie serie de signature de m messages. 

6. Precede selon la revendication 1 , caracterisS par 
le fait que I'entite A verif ie que c(t-1)^s^tuv-1 et 
que si ce n'est pas le cas, I'entite A recommence 
le processus de signature. 

7. Precede selon la revendication 1 , caracterise par 
le fait que dans le calcul de la fonction hachage 
c=h(r,M), le message M est remplace par une 
fonction f(M) ou f est 6galement une fonction de 
hachage. 

8. Proc6de d'authentification de message selon la 
revendication 1, caracterise par le fait qu'il 
comprend d'abord les operations a, b, c ; puis 
I'entite A calcule r'= h(r,M) ; I'entite B choisit en- 
suite au hasard un entier positif ou nul c inferieur 
a v-1 et I'envoie a I'entite A ; i'entite A calcule en- 
suite rentier s = k+cx et envoie a I'entite B le mes- 
sage M et I'entier s ; I'entite B calcule le produit 
modulo n de y° par g 8 , soit r, et ve>if ie que h(r,M) 
= r\ 
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